Добрый день.
Помогите разобраться, как сделать вторую подсеть на том же интерфейсе, с возможностью ходить между сетями.
На DFL задействован lan2 через который ходят в интернет(wan1) и по другим ipsec-туннелям пользователи. В сети компьютеры(dhcp), принтеры(статика), серверы(статика).
Необходимо увести в другую подсеть все, кроме компьютеров. Сеть компьютеров 192.168.8.0/24, будущая сеть для всего остального 192.168.254.0/24.
Как сделать чтобы DHCP остался раздавать 192.168.8.0/24 на lan2 (192.168.8.1), но при этом на том же lan2, был шлюз 192.168.254.1 для подсети 192.168.254.0/24 в котором все устройства на статических адресах и какие маршруты надо добавить, чтобы можно было ходить из подсети 192.168.8.0/24 в подсеть 192.168.254.0/24, обратно, в интернет и ipsec-туннели.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо. Теперь буду пытаться исправлять то, что наделал раньше.

Не вышло. В инструкции по ссылке фигурирует wan2_ip. Для реализации своих потребностей, везде его заменял на второй ip адрес для интерфейса lan2.
Из сети 192.168.8.0/24 я могу пинговать 192.168.254.1 и больше ничего из новой подсети. А из новой подсети даже 192.168.254.1 не пингуется.
подробности в картинках
lan2net 192.168.8.0/24
lan2net254 192.168.254.0/24
lan2_ip 192.168.8.1
lan2gw254 192.168.254.1

Где я сделал неправильно?

http://service.d-link.ua/node/74
ваш случай ....

но я бы рекомендовал все таки порезать на Vlan .
сервера убрать туда ....
принтеры оставить в секменте с пользователями .... поверьте мне это вас потом оградит от многих проблем

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Приведенная выше инструкция по сути та же, но гораздо более подробная, с картинками. Лучше используйте её.

Важно помнить, что пример хорошо подходит для DFL-/210/800/260E/860E, где lan интерфейс один, без номера.
В вашем случае содержание и суть точно такие же, только с названиями сетей и интерфейсов не надо путаться.

к core надо привязывать единственный адрес. Он будет доп. адресом DFL на интерфейсе и он же служит шлюзом для устройств в доп. сети.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Опять инструкция немного отличается от потребностей и опять не работает такой вариант.
http://service.d-link.ua/node/74 нет ни слова об основной сети
Даже какое-то неправильное правило

Мне надо полностью гонять трафик из из одной подсети в другую, а не шлюз в этой подсети пинговать. Но даже и это не выходит. Например я с адреса второй подсети 192.168.254.4 не могу пингануть "шлюз" 192.168.254.1
Хотя из подсети 192.168.8.0/24 я могу пинговать 192.168.254.1

p.s. в сети стоят 3200-28(P), 3200-26, и 1210-24, но я пока не разбираюсь в vlan. Более того, мне надо чтобы два ipsec ходили именно на новую подсеть. Остальные три на "компьютернную" подсеть.

рисуйте схему .... от руки с указаним интерфейсов и прочего ...
я например уже запутался что и как надо .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

с вашей картинки с маршрутами маршруты 13,14,17 надо удалить. 15,16 - оставить. а лучше покажите всю таблицу маршрутов. В этом нет криминала.

Если есть возможность, перед нужной вам настройкой сбросьте устройство к начальной конфигурации или той, что была до ваших манипуляций.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вот так хотелось бы, чтобы выглядела сеть.
Нужно чтобы компьютеры и удаленные офисы могли общаться с серверами.
192.168.8.0/24 dhcp
192.168.254.0/24 статика

Вот реально мой вам совет ... у вас оба коммутатора на L3 . Возможно у вас там где то присутствует маршрутизация посмотрите , а то можете наломать дров и потом не разберетесь ..... к тому же как показывает практика навешивание второго Lan сегмента на настроенных коммутаторах может повлечь не обратимые последствия.

если дальше остальные коммутаторы тоже управляемые, то проще .....
Все сервера соберите в одном месте, выделите в один Vlan их . и сам Vlan поднимите на DFL.
в вашей ситуации пусть маршрутизацией и прочими заморочками занимается DFL (его дури должно хватить), коммутаторам оставьте L2

не простая задача но вполне решаемая и даже изящным видом , и самое главное логически правильным.

ps Если вы считаете что при помощи форума вы сможете настроить все ваше железо - то думаю заблуждаетесь , пока сами не вникните в работу , вопросов будут больше чем ответов .(просто совет такой дружественный )

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну вообще-то best practices было бы унести принтеры в частично изолированный сегмент, недоступный пользователям, но доступный серверу(ам) печати aka принтсерверам. Да это требует неких усилий в первоначальной настройке и подтанцовки с бубном при попытке централизовать зоопарк, но оно того стоит.

Ну и плюс между vlan серверов и пользовательским не городить тяжелую маршрутизацию через DFL, а воспользоваться L3 функционалом коммутаторов (подразумевающей маршрутизацию со скоростью коммутации).

ну это хорошо если все принтеры RAW и тому подобное, а если появится хитрый бонжур ? и появится тема почему не печатает ????
вот тут начнется самое интересное
я за принтеры в той-же подсети что и пользователи , в одном сегменте проблем меньше .

быстрей человеку научится разбиратся в L2 ( там ни чего сложного нет )
чем

и опять получить кучу вопросов в смежных темах .

L2 настроить на этих коммутаторах думаю за пол часа ( прогнать вланы по всем коммутаторам еще нескольких часов , зависит от сети )
настроить влан на DFL еще пол часа
правила и маршруты - думаю на пару дней со знаниями топик стартера - вполне .

и еще раз хотелось бы напомнить: что если коммутаторы настроены и имеют конфигурацию отличную от дефолтной , то со вторым навешанным сегментом могут быть проблемы ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну про "зоопарк" я тоже отмечал. Но в принципе это все достаточно оперативно победимо (в конце-концов есть screwdriver), зато на выхлопе более централизовано управляемо (например в рамках AD раздача политиками нужных наборов принтеров).

Ну тут даже неуместно выбирать "одно из двух" -)

И по сути что в лоб, что по лбу - вначале L2, а потом L3, но по-любому и то и другое. Разница только в вариантах - рулить между VLAN на DFL регламентируя связанность на уровне правил или же то же самое на коммутаторе, регламентируя ACL

Для случаев класса вышеизложенного - в общем-то все просто и очевидно и единственный затык - небольшии различия в терминологии и отображении vlan у разных брендов и привычки к кривизне вебморд конкретных коммутаторов.